當人工智慧開始替駭客撰寫攻擊程式,資安戰場的遊戲規則已悄然改寫。這一週,研究人員警告:惡意程式的生成速度已從數天壓縮至短短數小時,壓縮的不只是防禦者的反應時間,更是整個資安產業的生存空間。供應鏈攻擊持續肆虐,程式開發平台在兩分鐘內遭蠕蟲癱瘓73個儲存庫,目標直指以人工智慧工具為生的開發者社群;另一邊,微軟單月修補超過五百六十個漏洞創下歷史紀錄,卻仍有新型零時差威脅尚未解除——這場追趕從未真正停歇。面對攻守雙方皆以人工智慧為武器的新局,趨勢科技以台灣資安業者之姿率先站上國際 AI 安全攻防的最前線。以下是本週資安重點,帶您掌握瞬息萬變的威脅全貌。
本週資安新聞重點摘要
| 類別 | 本週最值得關注 |
| 資安趨勢 | TrendAI 加入 Project Glasswing 並部署 Claude Opus 4.8 COO 示警 AI Agent 治理風險 TrendAI 首公開 CRQ 風險量化工具 TrendAI 連 21 次蟬聯 Gartner EPP 領導者 |
| TrendAI 觀點 | 一個人、一個 AI、一個虛構的人格:深入分析長達 5 年的「愛國者誘餌」(Patriot Bait) 影響力行動與騙局 AI 代理治理:現在為何重要 |
| 重大攻擊 | Miasma 蠕蟲橫掃 GitHub/NPM/PyPI Meta AI 成資安破口逾 2 萬 IG 帳號遭盜 Exchange Online Ghost-Sender 可偽造任意寄件地址 |
| 漏洞修補 | 微軟 6 月修補 560+ 漏洞史上規模最大 新型 Defender 零時差 RoguePlanet 尚未修補 |
| 產業動態 | OpenAI 祕密提交 IPO 蘋果 WWDC Apple Intelligence 亮相 微軟 Build 2026 |
| AI 資安 | AI 程式碼治理危機:60-70% 企業知風險仍上線 Anthropic 警告 AI 數小時可造漏洞攻擊程式 Mythos 資料留存 30 天引發企業資安疑慮 |
⭕️ TrendAI 觀點
一個人、一個 AI、一個虛構的人格:深入分析長達 5 年的「愛國者誘餌」(Patriot Bait) 影響力行動與騙局
一名操俄羅斯語的獨行駭客經營了一個 Telegram 頻道長達 5 年之久,但從 2025 年 9 月起,他開始利用 AI 來自動生成內容、竊取登入憑證、從事針對美國受眾的虛擬加密貨幣詐騙。
AI 代理目前正在人類的信任邊界內運作,並且實際掌握了憑證,因此,AI 代理的治理就是為了防止它們以機器的速度默默造成破壞。
⭕️ 資安趨勢
趨勢科技TrendAI × Anthropic:AI 攻防合作全面啟動
本週,趨勢科技 TrendAI™ 在 AI 資安領域再創佳績。繼 COMPUTEX 宣布三大革新後,TrendAI™ 正式加入 Anthropic Project Glasswing,成為首家受邀參與的台灣資安公司,雙方將在 AI 安全攻防展開深度合作;同步部署 Claude Opus 4.8 模型,加速漏洞偵測、風險排序與修補工作流程,打造 AI 資安治理中樞平台。值得一提的是,TrendAI™ 連續 21 次蟬聯 Gartner® Magic Quadrant™ 端點防護平台(EPP)領導者殊榮,寫下業界不敗神話。趨勢科技 COO Kevin Simzer 亦於本週多個重要場合提出 AI 時代資安治理的三大關鍵方向,強調台灣有潛力成為全球 AI 法規典範。此外,趨勢科技首次公開**網路風險量化(CRQ)**功能預覽版,可將資安風險即時換算為財務損失金額,協助管理層直觀評估資安投資報酬,讓資安決策更具說服力。
參考來源:
- TrendAI™ 加入 Anthropic Project Glasswing(數位時代)
- TrendAI™ 加入 Project Glasswing(經濟日報)
- TrendAI™ 連 21 次蟬聯 Gartner® EPP 領導者(史塔夫科技事務所)
- TrendAI™ Gartner® EPP 領導者(CompoTech Asia)
- COO Kevin Simzer:台灣有成為 AI 法規典範的潛力(iThome)
- TrendAI 示警 AI Agent 治理風險(科技新報)
- TrendAI 首度公開 CRQ 網路風險量化預覽版(iThome)
⭕️ 重大攻擊
2 分鐘癱瘓 73 個儲存庫:Miasma 蠕蟲鎖定 AI 開發者,供應鏈攻擊進入新紀元
本週供應鏈攻擊威脅持續升溫,以 Miasma 蠕蟲最為嚴峻。短短 2 分鐘內,微軟 GitHub 上 73 個儲存庫遭到停用;Miasma 透過新型 Phantom Gyp 六階段攻擊手法,特別鎖定 Claude、Gemini 等 AI 開發工具的使用者,竊取 API 金鑰與 SSH 金鑰等關鍵憑證,NPM 與 PyPI 生態圈亦相繼受波及,原始碼更外洩至 GitHub,引發大規模仿冒攻擊疑慮。
另一起不容忽視的事件,是 Exchange Online「Ghost-Sender」漏洞曝光——混合部署環境若整合外部 MX 紀錄,攻擊者即可冒用任意寄件人身分對目標租戶發送釣魚郵件,對企業電子郵件信任體系構成根本性威脅。此外,俄羅斯國家級駭客組織持續利用 WinRAR 漏洞 CVE-2025-8088 攻擊烏克蘭政府與軍事單位;ShinyHunters 宣稱入侵逾百台 Oracle PeopleSoft 伺服器,主要鎖定教育機構;Meta 平台更因 AI 功能遭攻擊者利用作為入侵媒介,逾 2 萬個 Instagram 帳號遭盜。
參考來源:
- Miasma 蠕蟲供應鏈攻擊(iThome)
- Miasma 延伸至 PyPI(iThome)
- Miasma 原始碼外洩(iThome)
- Exchange Online Ghost-Sender 漏洞(iThome)
- 俄羅斯駭客利用 WinRAR 攻擊烏克蘭(iThome)
- ShinyHunters 入侵 Oracle PeopleSoft(iThome)
- Oracle PeopleSoft 零時差修補(網路資訊雜誌)
- Meta AI 成資安破口,逾 2 萬 IG 帳號遭盜(TVBS)
⭕️ AI 資安
Anthropic AI 安全研究進展
| 日期 | 事件 |
| 0605 | 趨勢科技TrendAI 加入 Project Glasswing;部署 Claude Opus 4.8 |
| 0609 | Anthropic 揭露:惡意帳號中度風險以上攻擊活動占比已逾五成 |
| 0609 | Anthropic 警告:AI 可在數小時內打造漏洞攻擊程式 |
| 0610 | Claude Fable 5 帶入 Mythos 能力正式發布 |
| 0610 | Anthropic 推出 10 款金融 AI Agents 搶攻華爾街 |
| 0612 | Anthropic 調整 Mythos 資料留存政策:提示詞與輸出保留 30 天,引發企業資安疑慮 |
| 0612 | 微軟以資安顧慮為由,限制員工使用 Claude Fable 5 |
| 0612 | Dario Amodei 政策立場轉向:主張政府有權阻止危險 AI 系統上線 |
AI 生成程式碼治理危機
兩份報告本週同步揭示 AI 程式碼的治理困境:
- 70% 開發者 認為 AI 程式碼更脆弱,但 30% 仍硬推上線
- 60% 企業 部署了未充分測試的 AI 生成程式碼
- Agentic AI 雖加速開發效率,卻導致軟體治理出現失控風險
OpenAI Lockdown Mode
OpenAI 為 ChatGPT 推出最高安全等級「Lockdown Mode」,透過限制特定工具存取,防範提示注入攻擊竊取機密。
惡意 Chrome 擴充套件鎖定 AI 平台
研究人員發現惡意 Chrome 擴充套件專門鎖定 AI 平台使用者,暗中收集對話內容及敏感個人資料。
相關報導:iThome
AI Agent 新型攻擊面
- OpenClaw AI 代理遭社交工程欺騙:研究人員揭露 AI 代理可被釣魚郵件誘騙,洩漏敏感資料,顯示 AI Agent 同樣面臨社交工程風險
- Visa × OpenAI AI Agent 購物授權:Visa 串接 OpenAI 推出機器買家授權機制,AI Agent 可被授權自主下單付款並受控管
相關報導:iThome (OpenClaw) | 科技報橘 (Visa × OpenAI)
⭕️ 漏洞修補
單月修補 560 個漏洞創歷史新高,但新型 Defender 零時差仍懸而未決
本週漏洞修補規模史上最大:微軟 6 月 Patch Tuesday 一次修補逾 560 個漏洞,創下近年單月最高紀錄,其中新型 Defender 零時差漏洞 RoguePlanet 尚待修補,需特別列入優先追蹤清單。
各企業資安團隊本週同步需評估的重點項目包括:Microsoft Exchange Server 零時差(已遭利用,需立即修補)、Linux kernel nftables CVE-2026-23111(可在本機提升至 root 並突破容器隔離)、Ivanti Sentry 重大 RCE 漏洞、Oracle PeopleSoft 零時差,以及由 AI 工具協助發現的 OpenSSL 高風險 RCE 漏洞。面對修補窗口持續縮短的趨勢,建議各組織建立 AI 輔助的漏洞風險排序機制,確保關鍵漏洞能在最短時間內完成修補。
參考來源:
- 微軟修補已遭利用的 Exchange Server 零時差漏洞(iThome)
- Linux kernel nftables CVE-2026-23111(iThome)
- Ivanti 修補 Sentry 重大漏洞(iThome)
- OpenSSL 修補高風險 RCE 漏洞(iThome)
- Oracle PeopleSoft 零時差修補(網路資訊雜誌)
⭕️ 產業動態
OpenAI 叩關資本市場,兆元 AI 巨頭上市潮讓科技版圖再洗牌
產業面本週多項重大動態值得持續關注。OpenAI 祕密提交 IPO 申請,繼 Anthropic 後加入兆元 AI 巨頭上市潮,AI 產業資本化進程明顯加速。蘋果 WWDC 2026 正式亮相 Apple Intelligence 核心功能,微軟 Build 2026 亦展示 AI 代理、自研模型與整合 Android 的全新作業系統功能,兩大科技巨頭的 AI 佈局持續深化。開源生態方面,IBM × Red Hat 宣布投入 50 億美元支持 Project Lightwell,捍衛開源軟體安全。在國際舞台,GITEX AI Europe 柏林峰會匯聚全球科技領袖共同擘劃 AI 策略,歐盟亦同步發表科技主權方案,致力強化數位自主能力,AI 治理的國際角力正式進入新階段。此外,Visa 串接 OpenAI 推出 AI Agent 購物授權機制,機器買家可被授權自主下單付款並受控管,預示 AI Agent 經濟新時代的到來。
參考來源: